Transparenz im Netzwerk

IsarFlow ist die passende Lösung

Security

Natürlich eignet sich IsarFlow auch für den Security-Blick auf das Netzwerk. So lassen sich gezielt die Rechner herausfinden, die mit Würmern und Viren verseucht sind. Denn im Gegensatz zu Applikationen kennt sich ein Wurm nicht im Intranet aus, verrät sich also durch Scans des Netzwerkes.

So fallen in dieser Analyse sofort die ersten drei Rechner auf, die sehr viele Netze ansprechen.

Diese Analyse umfasst den Zeitraum von einer Stunde, aggregiert auf /16-Netze. Diese Rechner sprechen also in einer Stunde mehr als ein Drittel des gesamten IPv4-Adressraumes an!

Sec Zielnetze1
Sec Zielnetze2

Schon ein erster Blick in die Details zeigt, dass durch diesen Rechner offensichtlich die Netze systematisch gescannt werden.

Ein Drill-Down zeigt weiterhin, dass sehr viele Flows mit sehr kleinen Daten erzeugt werden.

Selbst kurze DNS-Abfragen sind größer als die hier gezeigten Flow-Größen...

Weitere Analysen zeigen dann, dass dieser Rechner über die Windows-Fileshare-Ports die anderen Rechner scannt.

Somit ist klar, dass dieser Rechner entweder dringend vom Netz genommen werden muss oder zumindest eine Alarmierung des Verantwortlichen erfolgen muss.

Sec Zielnetze3